DSGVO und KI: Datenschutzpflichten beim KI-Einsatz im Unternehmen

Kernaussage: Beim Einsatz von KI-Systemen, die personenbezogene Daten verarbeiten, gelten vollumfänglich die Anforderungen der DSGVO — zusätzlich zu den Regelungen des EU AI Acts. Beide Rechtsrahmen greifen parallel.

DSGVO-Anforderungen beim KI-Einsatz

Die Datenschutz-Grundverordnung (DSGVO) wurde nicht spezifisch für KI entwickelt, gilt aber vollumfänglich für alle KI-Anwendungen, die personenbezogene Daten verarbeiten. Das betrifft die große Mehrheit aller geschäftlichen KI-Anwendungen: Lead-Scoring, Kandidaten-Ranking, Kundenanalyse, Personalisierung.

Die relevantesten DSGVO-Anforderungen für KI:

Rechtmäßigkeit der Verarbeitung (Artikel 6)

Für jede Verarbeitung personenbezogener Daten durch KI-Systeme muss eine Rechtsgrundlage existieren: Einwilligung, Vertragserfüllung, berechtigtes Interesse oder gesetzliche Verpflichtung.

Automatisierte Entscheidungen (Artikel 22)

Betroffene Personen haben das Recht, nicht ausschließlich einer automatisierten Entscheidung unterworfen zu sein, die ihnen gegenüber rechtliche oder ähnlich erhebliche Wirkung entfaltet. Bei KI-gestütztem Kreditscoring, Jobselektion oder Prämienberechnung müssen menschliche Überprüfungsmöglichkeiten bestehen.

Datenschutz-Folgenabschätzung (DPIA, Artikel 35)

KI-Anwendungen, die ein hohes Risiko für Rechte und Freiheiten natürlicher Personen darstellen, erfordern eine Datenschutz-Folgenabschätzung vor dem Einsatz. Dies ist bei den meisten Hochrisiko-KI-Anwendungen der Fall.

Datenminimierung und Zweckbindung

KI-Modelle dürfen nur die Daten verwenden, die für den definierten Zweck notwendig sind. Das Trainieren eines Modells mit Daten, die für einen anderen Zweck erhoben wurden, ist nur unter strengen Bedingungen zulässig.

DSGVO und EU AI Act: Die Überschneidung

DSGVO und EU AI Act verfolgen teilweise ähnliche Ziele (Schutz von Personen vor KI-Risiken), sind aber unterschiedliche Regelwerke. Datenschutzbehörden können DSGVO-Verstöße unabhängig vom EU AI Act ahnden — und umgekehrt. Unternehmen müssen beide Regelwerke gleichzeitig einhalten.

Praxisbeispiele im DACH-Kontext

Marketingagentur in Berlin: Nutzt KI für E-Mail-Personalisierung auf Basis von Clickstream-Daten. Sie führt eine DPIA durch, dokumentiert das berechtigte Interesse als Rechtsgrundlage und implementiert eine einfache Abmeldemöglichkeit — DSGVO-konforme KI-Personalisierung.

HR-Abteilung in Zürich: Setzt KI für Bewerberpre-Screening ein. Da Artikel 22 greift, wird sichergestellt, dass jeder Bewerber eine Möglichkeit zur menschlichen Überprüfung hat und über den KI-Einsatz informiert wird.

Wie Knowlee DSGVO-Konformität unterstützt

Knowlee verarbeitet personenbezogene Daten ausschließlich auf der Basis dokumentierter Rechtsgrundlagen. Die Plattform ermöglicht Datenminimierung durch konfigurierbare Feldauswahl und stellt sicher, dass Human-in-the-Loop-Checkpoints die Anforderungen von Artikel 22 erfüllen.

FAQ

Müssen KI-Trainingsdaten DSGVO-konform sein? Ja. Werden personenbezogene Daten zum Trainieren von KI-Modellen verwendet, benötigt man eine Rechtsgrundlage. In der Praxis wird häufig das berechtigte Interesse oder die Einwilligung herangezogen — beide haben spezifische Anforderungen.

Gilt das Recht auf Auskunft (Art. 15) auch für KI-Entscheidungen? Ja. Betroffene können Auskunft darüber verlangen, ob und wie ihre Daten in KI-Systemen verarbeitet werden, sowie eine Erläuterung der involvierte Logik bei automatisierten Entscheidungen.

Wie lange dürfen Daten, die für KI-Training verwendet wurden, gespeichert werden? Nur so lange, wie der Zweck dies erfordert (Speicherbegrenzung, Art. 5 Abs. 1 lit. e DSGVO). Für KI-Trainingsdaten bedeutet dies: nach Abschluss des Trainings und eventuellem Retraining sollten nicht mehr benötigte personenbezogene Daten gelöscht werden.